最近发现了一个非常好的开源项目,基本实现了一个 Android 上的沙箱环境,不过应用场景最多的还是应用双开。
VA github: https://github.com/asLody/VirtualApp
VA 的源码注释: https://github.com/ganyao114/VA_Doc
第一章主要是分析一下项目的整体结构。
主要是 PackageParser,该类型覆盖了系统的隐藏类 android.content.pm.PackageParser
这里就是框架的主体代码了
运行在客户端的代码,指加载到 VA 中的子程序在被 VA 代理(hook)之后,所运行的代码
hook java 层函数的一些代码
伪造的一些 framework 层的 IPC 服务类,诸如 ActivityManager,ServiceManager 等等,使用 VXXXXX 命名。hook 之后,子程序就会运行到这里而·不是原来真正的系统 framework 代码。
系统四大组件的插桩,如提前注册在 Menifest 里的几十个 StubActivity。
一些可序列化 Model,继承于 Parcelable
server 端代码,VA 伪造了一套 framework 层系统 service 的代码,他在一个独立的服务中记录管理组件的各种 Recorder,其逻辑其实与系统原生的相近,通过 Binder 与 client 端的 ipc 包中的 VXXXXManager 通讯。诸如 AMS(VAMS),PMS(VPMS)。
系统 framework 的镜像,实现了与 framework 层相对应的结构,封装了反射获取系统隐藏字段和方法的,便于直接调用获取或者赋值以及调用方法。
根据成员变量类型,映射类型分为几个基本数据类型和对象引用类型。下面就以对象引用类型为例,其他类型类似。类型 RefObject 代表映射 framework 层同名的泛型类型成员变量。
// Field 映射
@SuppressWarnings("unchecked")
public class RefObject<T> {
// framework 层对应的 Field
private Field field;
public RefObject(Class<?> cls, Field field) throws NoSuchFieldException {
// 获取 framework 中同名字段的 field
this.field = cls.getDeclaredField(field.getName());
this.field.setAccessible(true);
}
// 获取变量值
public T get(Object object) {
try {
return (T) this.field.get(object);
} catch (Exception e) {
return null;
}
}
// 赋值
public void set(Object obj, T value) {
try {
this.field.set(obj, value);
} catch (Exception e) {
//Ignore
}
}
}
以 framework 层中隐藏类 LoadedApk 来说:
public class LoadedApk {
public static Class Class = RefClass.load(LoadedApk.class, "android.app.LoadedApk");
public static RefObject<ApplicationInfo> mApplicationInfo;
@MethodParams({boolean.class, Instrumentation.class})
public static RefMethod<Application> makeApplication;
mApplicationInfo 就是 LoadedApk 中私有 ApplicationInfo 类型字段的同名映射。
当你引用 LoadedApk Mirror 类时,类加载器加载该类,执行静态成员的初始化表达式 RefClass.load(LoadedApk.class, “android.app.LoadedApk”); Mirror 类中的同名字段将被反射赋值。
下面看一下 RefClass.load() 函数
public static Class load(Class mappingClass, Class<?> realClass) {
// 获取 Mirror 类的所有字段
Field[] fields = mappingClass.getDeclaredFields();
for (Field field : fields) {
try {
// 必须是 static 变量
if (Modifier.isStatic(field.getModifiers())) {
// 从预设的 Map 中找到 RefXXXX 的构造器
Constructor<?> constructor = REF_TYPES.get(field.getType());
if (constructor != null) {
// 赋值
field.set(null, constructor.newInstance(realClass, field));
}
}
}
catch (Exception e) {
// Ignore
}
}
return realClass;
}
最后调用的话 MirrorClass.mirrorField.get(instance),MirrorClass.mirrorField.set(instance),就相当于直接调用 framework 层的隐藏字段了。
其实与 Field 类似,只是 Field 主要是一个 call 即调用方法。
@MethodParams({File.class, int.class})
public static RefMethod<PackageParser.Package> parsePackage;
表现在 Mirror 类型中也是一个字段,不过要在字段上边加上注解以标注参数类型。
当然还有一种情况,参数类型也是隐藏的,则要使用全限定名表示
@MethodReflectParams({"android.content.pm.PackageParser$Package", "int"})
public static RefMethod<Void> collectCertificates;
位于 com.lody.virtual.client.hook
Java 层使用了 Java 自带的动态代理
重要的是这三个方法:
public boolean beforeCall(Object who, Method method, Object... args) {
return true;
}
public Object call(Object who, Method method, Object... args) throws Throwable {
return method.invoke(who, args);
}
public Object afterCall(Object who, Method method, Object[] args, Object result) throws Throwable {
return result;
}
以 hook getServices 为例:
static class GetServices extends MethodProxy {
@Override
public String getMethodName() {
return "getServices";
}
@Override
public Object call(Object who, Method method, Object... args) throws Throwable {
int maxNum = (int) args[0];
int flags = (int) args[1];
return VActivityManager.get().getServices(maxNum, flags).getList();
}
@Override
public boolean isEnable() {
return isAppProcess();
}
}
A. getMethodName 是要 Hook 的方法名
B. Hook getServices 之后发现,真正返回服务的方法变成了仿造的 VActivityManager 对象。而在后面我们会知道这些服务最后都会从 VAMS 中获取,而不是原来的 AMS。
C. 实现了 isEnable 方法,这是 Hook 开关,如果返回 false 则不 Hook 该方法,而在这里的条件是,只有在子程序环境中 Hook,而宿主即框架是不需要 Hook 的,框架仍然需要连接真正的 AMS 以获取在系统 AMS 中注册的“外部” service。
/**
* Add a method proxy.
*
* @param methodProxy proxy
*/
public MethodProxy addMethodProxy(MethodProxy methodProxy) {
if (methodProxy != null && !TextUtils.isEmpty(methodProxy.getMethodName())) {
if (mInternalMethodProxies.containsKey(methodProxy.getMethodName())) {
VLog.w(TAG, "The Hook(%s, %s) you added has been in existence.", methodProxy.getMethodName(),
methodProxy.getClass().getName());
return methodProxy;
}
mInternalMethodProxies.put(methodProxy.getMethodName(), methodProxy);
}
return methodProxy;
}
这个也是关于动态代理的知识,这里的区别其实就是 Lody 对他做了一些接口的抽象,和一些诸如 Log 的封装。
添加 Hook Method 的方式有两个,一是调用 addMethodProxy,二是在 Stub 上添加 @Inject 注解,具体见下一段。
@Inject(MethodProxies.class)
public class LibCoreStub extends MethodInvocationProxy<MethodInvocationStub<Object>> {
将要 Hook 的方法集合 MethodProxies 绑定到 Stub 上。然后就是 Stub 对自己头上注解的解析,最终还是会调用到内部的 addMethodProxy 方法。
protected void onBindMethods() {
if (mInvocationStub == null) {
return;
}
Class<? extends MethodInvocationProxy> clazz = getClass();
Inject inject = clazz.getAnnotation(Inject.class);
if (inject != null) {
Class<?> proxiesClass = inject.value();
Class<?>[] innerClasses = proxiesClass.getDeclaredClasses();
// 遍历内部类
for (Class<?> innerClass : innerClasses) {
if (!Modifier.isAbstract(innerClass.getModifiers())
&& MethodProxy.class.isAssignableFrom(innerClass)
&& innerClass.getAnnotation(SkipInject.class) == null) {
addMethodProxy(innerClass);
}
}
}
}
这点很重要,VA 在运行时并不是一个简单的单进程的库,其需要在系统调用到其预先注册的 Stub 组件之后接手系统代理 Client App 的 四大组件,包括生命周期等一切事物。
VA 参照原生系统 framework 仿造了一套 framework service,还有配套在 client 端的 framework 库。
简单来说,我们平时所用到的 app 运行空间中的 framework api 最终会通过 Binder 远程调用到 framework service 空间的远程服务。
而远程服务类似 AMS 中的 Recoder 中会持有 app 空间的 Ibinder token 句柄,通过 token 也可以让 framework service 远程调用到 app 空间。
作者:OSTCB
来源:CSDN
原文:https://blog.csdn.net/ganyao939543405/article/details/76146760